戴尔电脑预装软件严重漏洞使用户易受局域网劫持

一位17岁的安全研究人员在SupportAssist应用程序中发现了远程代码执行（RCE）漏洞。戴尔的SupportAssist应用程序目前存在两个危险的安全漏洞，即远程代码执行（RCS）和CVE-2019-3718。这些漏洞使攻击者容易欺骗受害用户，让他们通过SupportAssist客户端从攻击者托管站点下载和执行任意可执行文件。

  根据研究人员的说法，除了上面提到的漏洞，该应用程序还有一个更严重的安全漏洞。具体表现在它确保不通过HTTP下载文件，这意味着只要它感觉到通过HTTP连接尝试下载文件，就会自动用HTTPS替换它，这将让用户相信他们在下载这些文件时没有任何安全问题。

  目前戴尔已经完全了解这些错误，SupportAssist正在提供修复程序。戴尔确认，3.2.0.90之前的Dell SupportAssist Client版本受到威胁，将应用程序升级到最新版本将确保用户的安全。